<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Jun 9, 2015 at 6:32 AM, Chris McCormick <span dir="ltr"><<a href="mailto:chris@mccormick.cx" target="_blank">chris@mccormick.cx</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On 09/06/15 11:33, Jonathan Wilkes via Pd-list wrote:<br>
> How does what you're working on compare to apt?<br>
<br>
</span>It's a bit like a terrible, half-assed, buggy, GUI-only version of apt<br>
written in an ancient scripting language and missing 99% of the<br>
features. It's designed to download Pd externals, Pd GUI plugins, and Pd<br>
abstractions, but not other types of software.<br>
<br>
On the up side it runs on the same platforms as Pd does and integrates<br>
tightly with the UI. Basically the same idea though.<br>
<br>
IOhannes yesterday submitted some feature requests for us to integrate<br>
deken with apt. Vapourware: when users are on a Debian based platform<br>
the search should also return results from an apt search so that they<br>
can optionally install externals from Debian packages instead of<br>
<a href="http://puredata.info" target="_blank">puredata.info</a>. He also kicked off the "intent to package" to get deken<br>
into Debian:<br>
<br>
<a href="https://bugs.debian.org/788075" target="_blank">https://bugs.debian.org/788075</a><br>
<br>
As an Ubuntu user myself I am pretty excited about both of those things!<br>
<br>
[Also a bit nervous at the prospect of more humans being subjected to<br>
software I wrote.]<br>
<span class=""><br>
> I'd really prefer a decentralized repo to match or exceed the<br>
> security properties of apt.<br>
<br>
</span>That would be excellent. A pie in the sky idea is one that stores<br>
packages in some type of anonymous torrent-cloud. Patches welcome!<br>
<span class=""><br>
> Probably I'm thinking of the word "frictionless" in a different way<br>
> than you mean it.  For example, if you make the external publishing<br>
> system frictionless, you greatly decrease the cost of attack. Someone<br>
> can try to upload an evil external, and if they fail, they can just<br>
> try again later.<br>
><br>
> Additionally, you raise the value of a successful attack.  For<br>
> example, an evil external could rename your tcl procs and redirect<br>
> requests for any subsequent externals to an evil mirror.  (And even<br>
> if you don't allow writing over the tcl plugin file, those evil<br>
> externals can rename the procs on Pd startup every time the user<br>
> loads one of them in a patch.)<br>
<br>
</span>Yes, that's true.<br>
<br>
When you let users download and run binaries compiled by arbitrary<br>
people you open them up to danger. I have thought a lot about this with<br>
respect to deken and here are what I hope are mitigating factors with<br>
some bad excuses thrown in for good measure:<br>
<br>
 * There is a warning prominently displayed when you launch the<br>
deken externals search interface: "Only install externals uploaded by<br>
people you trust."<br>
<br>
 * Uploaders have to have an account on <a href="http://puredata.info" target="_blank">puredata.info</a> which provides a<br>
level of community accountability. The search systems tells the user<br>
which username was used when uploading the package. We can tar, gzip,<br>
and feather anybody who uploads an NSA compromised binary. Get your<br>
pitchforks & flaming rags ready everybody.<br>
<br>
 * The uploaded packages are sha256-summed and the sum is uploaded with<br>
the package. At the moment this information is not used but in future<br>
users can verify with the developer that the same version they have is<br>
the one the developer actually uploaded, if they want.<br>
<br>
 * Vapourware: there is a feature request for optional GPG signing of<br>
the package files. This provides an additional level of trust and<br>
verifiability where you don't actually have to ask the developer, you<br>
can just check using their public key.<br>
<br>
 * At the end of the day of course, it is about trust between users and<br>
developers. Users who download Pd binaries from Miller's site trust that<br>
he won't inject obscure-music-nerd-spying-software from the NSA into his<br>
binaries.<br>
<br>
 * Every other package management system also faces these same issues,<br>
as does "I am going to download this random Windows executable and<br>
double click it with impunity what could possibly go wrong". We can try<br>
for best-practice (or better!).<br>
<br></blockquote><div><br></div><div>Do you already know the git torrent protocol:</div><div><a href="https://code.google.com/p/gittorrent/">https://code.google.com/p/gittorrent/</a><br></div><div>and</div><div><a href="http://blog.printf.net/articles/2015/05/29/announcing-gittorrent-a-decentralized-github/">http://blog.printf.net/articles/2015/05/29/announcing-gittorrent-a-decentralized-github/</a><br></div><div><br></div><div><br></div><div>I think the with this goals in mind git torrent is worths to give it a try.</div><div><br></div><div><br></div><div>cheers</div><div>husk</div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Nothing is mine but every thing belong to me<div><a href="http://www.estereotips.net" target="_blank">www.estereotips.net</a></div></div></div></div></div></div></div></div>
</div></div>